DSRRM 和 GDPR 政策
EITCA 学院关于数据主体权利请求管理和一般数据保护条例的政策
本文件规定了欧洲 IT 认证协会关于数据主体权利请求管理的政策,以及欧盟通用数据保护条例的实施,该条例会定期审查和更新以确保其有效性和相关性。 EITCI 数据主体权利请求管理和 GDPR 政策的最后一次更新是在 10 年 2023 月 27701 日。我们的数据主体权利请求管理和 GDPR 政策基于 ISO 27001 隐私信息管理系统扩展到 ISO 2016 信息安全的原则系统标准,以及通用数据保护条例 (679/XNUMX) 的要求。
部分1。 介绍
管理数据主体权利请求是确保遵守数据保护法规(即 GDPR(欧盟通用数据保护法规))的重要组成部分。 欧洲 IT 认证协会定义了以下正式程序来管理数据主体权利请求和实施 GDPR 的要求:
1.1. 建立处理数据主体权利请求的流程
此过程概述了欧洲 IT 认证机构在处理数据主体权利请求时遵循的步骤,包括数据主体的身份识别和身份验证、数据主体请求的验证以及对请求的响应。
1.2. 指定数据保护官 (DPO)
欧洲 IT 认证机构指定一名 DPO,负责监督数据主体权利请求的管理,包括请求的审查、请求的响应以及确保遵守数据保护法规。
1.3. 保持个人数据的最新记录
欧洲 IT 认证协会维护其持有的个人数据及其处理目的的最新记录。 这将使欧洲 IT 认证机构能够快速准确地响应数据主体权利请求。
1.4. 向数据主体提供清晰简洁的信息
在收集个人数据时,欧洲 IT 认证协会向数据主体提供有关其权利的清晰简明信息,包括访问、更正、删除和反对处理其个人数据的权利。
1.5. 建立标准响应时间
欧洲 IT 认证协会维护数据主体权利请求的标准响应时间,并确保请求在此时间范围内得到响应。
1.6. 验证数据主体的身份
欧洲 IT 认证机构验证提出请求的数据主体的身份,以确保仅将个人数据提供给正确的个人。
1.7. 及时响应数据主体权利请求
欧洲 IT 认证协会会及时响应数据主体的权利请求,并向数据主体提供他们所请求的信息。
1.8. 记录数据主体权利请求
欧洲 IT 认证协会维护数据主体权利请求的记录,包括请求日期、请求的性质以及对请求的响应。
1.9. 监控和审查过程
欧洲 IT 认证机构定期监控和审查其处理数据主体权利请求的流程,以确保其保持有效并符合相关数据保护法规。
1.10. 建立加工活动记录
欧洲 IT 认证协会维护处理活动记录,该文件概述了组织对个人数据的处理。 它是欧盟通用数据保护条例 (GDPR) 的要求,旨在帮助理解数据处理活动并证明符合 GDPR。
通过遵循这些正式和程序,欧洲 IT 认证机构可以有效地管理数据主体的权利请求,并确保遵守数据保护法规,包括欧盟的通用数据保护法规。
第 2 部分:建立处理数据主体权利请求的流程
此过程概述了欧洲 IT 认证机构在处理数据主体权利请求时遵循的步骤,包括数据主体的身份和身份验证、数据主体请求的验证以及对请求的响应:
2.1. 识别和验证数据主体
欧洲 IT 认证协会维护一个流程来验证提出请求的数据主体的身份。 这可能包括要求提供政府颁发的 ID、检查现有记录或使用其他身份验证方法。
2.2. 验证数据主体的请求
一旦确定了数据主体的身份,欧洲 IT 认证机构必须验证请求是否有效并与数据主体的个人数据相关。 该请求还应包括正在行使的具体权利,例如访问、更正或删除个人数据的权利。
2.3. 响应请求
欧洲 IT 认证机构必须在相关数据保护法规定的时限内对数据主体的请求作出回应,但不得超过 30 天。 回复应包括对请求是否已被批准或拒绝的解释,以及做出决定的原因。
2.4. 记录请求和响应
欧洲 IT 认证协会保留所有数据主体权利请求和响应的记录。 这有助于确保遵守相关的数据保护法,并促进未来的审计或调查。
2.5. 培训相关人员
欧洲 IT 认证机构将对负责处理数据主体权利请求的工作人员进行培训,以确保他们熟悉相关的数据保护法律和欧洲 IT 认证机构处理此类请求的程序。
2.6. 监控和审查过程
欧洲 IT 认证机构定期监控和审查处理数据主体权利请求的流程,以确保其保持有效并符合相关数据保护法律。 及时报告和解决任何问题或事件。
第 3 部分。指定数据保护官 (DPO)
欧洲 IT 认证机构指定一名 DPO,负责监督数据主体权利请求的管理,包括请求的审查、请求的响应以及确保遵守数据保护法规。
3.1. 指定 DPO
欧洲 IT 认证协会指定一名数据保护官 (DPO) 来监督数据主体权利请求的管理,并确保遵守数据保护法规。 DPO 将负责审查请求并确保欧洲 IT 认证机构履行其与数据保护相关的法律义务。
3.2. DPO 的能力要求
DPO 必须具备数据保护法律和实践方面的专业知识,并获得履行职责所需的资源。 他们应该可以直接接触高级管理层并向组织的最高管理层报告。
3.3. DPO 的职责
DPO 的职责包括但不限于以下内容:
- 就数据保护事宜(包括数据主体权利请求的管理)向欧洲 IT 认证机构提供指导和建议。
- 监控欧洲 IT 认证机构对数据保护法规和内部政策和程序的遵守情况。
- 回应数据主体关于其在数据保护条例下的权利的询问和投诉。
- 与其他部门协调,以确保整个组织都满足数据保护要求。
- 对欧洲 IT 认证协会的数据保护实践进行定期审查和评估,并提供改进建议。
- 作为数据保护当局的联络点,并在调查或审计时与他们合作。
- DPO 还参与制定和实施欧洲 IT 认证协会与数据保护相关的政策和程序,包括与处理数据主体权利请求相关的政策和程序。
3.4. DPO的培训和资格发展
欧洲 IT 认证机构应确保 DPO 接受过有关数据保护法规的充分培训,并及时了解这些法规的任何更改或更新。
3.5. DPO 的联系信息
DPO 的联系信息应提供给数据主体,并包含在欧洲 IT 认证协会的隐私声明或政策中。
第 4 部分。维护个人数据的最新记录
欧洲 IT 认证协会维护其持有的个人数据及其处理目的的最新记录。 这将使欧洲 IT 认证机构能够快速准确地响应数据主体权利请求。
4.1. 建立识别和记录个人数据的流程
欧洲 IT 认证协会建立了一个清晰和标准化的流程来识别和记录个人数据,包括数据主体的姓名、联系信息和任何其他相关信息。 此过程确保仅出于特定和合法目的收集个人数据。
4.2. 个人资料分类
欧洲 IT 认证协会对个人数据进行分类,以便于跟踪和管理。 这包括按类型对数据进行分类,例如联系信息、账单信息、能力和资格、财务信息或工作经历。
4.3. 实施数据管理系统
欧洲 IT 认证协会实施数据管理系统,以帮助确保个人数据准确、最新且可访问。 数据管理系统包括一个可以搜索和查询的数据库,以帮助响应数据主体的权利请求。
4.4. 分配维护个人数据记录的责任
欧洲 IT 认证机构应将维护个人数据记录的责任分配给特定的个人或部门。 这将确保记录保持最新和准确。
4.5. 定期检讨及更新个人资料记录
欧洲 IT 认证机构应定期审查和更新个人数据记录,以确保其保持准确和最新。 这可以通过定期审计或通过持续监控过程来完成。
4.6. 实施适当的安全措施
欧洲 IT 认证协会实施适当的安全措施来保护其持有的个人数据,包括防止未经授权访问、意外丢失或破坏个人数据的措施,作为该组织信息安全政策 (ISP) 的一部分。 这包括 ia 加密、防火墙和访问控制。 专门的欧洲 IT 认证协会的信息安全政策涵盖了数据保护流程和措施的详细规范。
第 5 部分:向数据主体提供清晰简洁的信息
在收集个人数据时,欧洲 IT 认证协会向数据主体提供有关其权利的清晰简明信息,包括访问、更正、删除和反对处理其个人数据的权利。
5.1。 透明度
欧洲 IT 认证协会在处理个人数据方面是透明的,并向数据主体提供有关如何使用、处理和存储其数据的简明信息。
5.2。 隐私政策
欧洲 IT 认证协会制定了详细的隐私政策,概述了其数据处理活动,包括数据主体如何行使其数据主体权利。
5.3.访问权
数据主体有权请求访问欧洲 IT 认证协会持有的关于他们的个人数据。 欧洲 IT 认证协会向数据主体提供清晰简洁的信息,包括如何提出访问请求、需要哪些信息来验证其身份,以及欧洲 IT 认证协会需要多长时间来响应请求。
5.4. 纠正权
数据主体有权要求欧洲 IT 认证机构更正其持有的关于他们的任何不准确或不完整的个人数据。 欧洲 IT 认证机构向数据主体提供清晰简明的信息,包括如何提出更正请求、需要哪些信息来验证其身份以及欧洲 IT 认证机构需要多长时间来响应请求。
5.5. 擦除权
数据主体有权要求欧洲 IT 认证机构在某些情况下删除其个人数据。 欧洲 IT 认证协会向数据主体提供清晰简明的信息,包括如何提出删除请求、需要哪些信息来验证其身份以及欧洲 IT 认证协会需要多长时间来响应请求。
5.6. 反对权
在某些情况下,数据主体有权反对处理其个人数据。 欧洲 IT 认证协会向数据主体提供清晰简明的信息,包括如何提出反对请求、需要哪些信息来验证其身份以及欧洲 IT 认证协会需要多长时间来响应请求。
5.7。 联系方式
如果数据主体对其个人数据的处理方式有疑问或疑虑,欧洲 IT 认证协会会为数据主体提供清晰简洁的联系信息。
第 6 部分。建立标准响应时间
欧洲 IT 认证协会为数据主体权利请求建立了标准响应时间,并确保请求在该时间范围内得到响应。
6.1. 标准响应时间
欧洲 IT 认证协会为数据主体权利请求建立了 30 天的标准响应时间。 标准响应时间定义了处理和响应的时间上限,大多数请求在更短的时间内得到处理和响应。
6.2. 请求回执确认时间
收到数据主体权利请求后,DPO 或其他工作人员将在 5 个工作日内确认收到请求,并向数据主体提供预计的回复时间。
6.3. 标准响应时间的异常延长
欧洲 IT 认证机构将尽合理努力在既定的标准响应时间内响应数据主体权利请求。 但是,如果请求很复杂或者欧洲 IT 认证机构收到大量请求,响应时间可能会延长。 在这种情况下,DPO 将通知数据主体延期和延迟的原因。
6.4. 拒绝履行数据主体权利请求
如果欧洲 IT 认证机构无法满足数据主体的权利请求,它将向数据主体提供拒绝的解释,并告知他们有权向相关监管机构投诉。
6.5. 数据主体权利请求和响应的记录
欧洲 IT 认证机构将保留数据主体权利请求和响应的准确记录,包括收到请求的日期、请求的性质以及响应的日期和方式。
6.6. 定期审查
DPO 将定期审查欧洲 IT 认证协会的响应时间,并根据需要进行更新,以确保符合适用的数据保护法规。
第 7 部分:验证数据主体的身份
7.1. 身份验证要求
欧洲 IT 认证机构必须核实提出请求的数据主体的身份,以确保仅将个人数据提供给正确的个人。
7.2. 身份验证手段和方法
当数据主体根据数据保护法要求行使他们的权利时,欧洲 IT 认证机构必须使用适当的措施验证数据主体的身份,例如请求身份证明文件。
7.3. 代理人身份验证
如果数据主体代表其他人提出请求,欧洲 IT 认证协会必须核实数据主体和代表其提出请求的个人的身份。
7.4. 身份验证存疑
如果欧洲 IT 认证机构对数据主体的身份或请求的有效性有疑问,它可能会要求提供额外信息或采取其他适当措施来验证数据主体的身份。
7.5. 身份验证记录
欧洲 IT 认证机构应记录验证过程和验证数据主体身份所采取的措施。 该记录应保留一段合理的时间,并用于证明遵守数据保护法。
第 8 部分:及时响应数据主体权利请求
8.1. 迅速回应
欧洲 IT 认证协会会及时响应数据主体的权利请求,并向数据主体提供他们所请求的信息。
8.2. 请求收据确认
欧洲 IT 认证协会会尽快确认收到数据主体的请求,最好是在 5 个工作日内。
8.3. 请求审查
指定的 DPO 应审查请求,以确保它满足必要的要求并且已提供所有必要的信息。
8.4. 验证数据主体身份
欧洲 IT 认证机构验证提出请求的数据主体的身份,以确保仅将个人数据提供给正确的个人。
8.5. 如果需要,获取额外信息
如果请求不明确或不充分,欧洲 IT 认证机构应联系数据主体以获取更多信息。
8.5. 检索相关数据
欧洲 IT 认证机构检索相关个人数据并对其进行审查,以确保其准确且最新。
8.6. 提供所要求的信息
除非另有要求,否则欧洲 IT 认证协会向数据主体提供他们所要求的信息,包括他们的个人数据的常用电子格式副本。
8.7. 告知数据主体他们的权利
欧洲 IT 认证机构告知数据主体他们的其他权利,例如更正或删除其个人数据的权利,并向他们提供必要的说明。
8.8. 遵守响应时间
欧洲 IT 认证协会在规定的响应时间内响应数据主体权利请求,确保采取必要的行动来满足请求。
8.9. 记录响应
欧洲 IT 认证协会记录了对数据主体权利请求的响应,包括采取的任何行动和响应时间,以确保可以出于合规目的对其进行审核和跟踪。
8.10. 将任何更改通知数据主体
如果应数据主体的请求对数据主体的个人数据进行任何更改,欧洲 IT 认证协会会将这些更改通知数据主体。
第 9 部分。记录数据主体权利请求
欧洲 IT 认证协会维护数据主体权利请求的记录,包括请求日期、请求的性质以及对请求的响应。 记录数据主体权利请求包括以下几个方面:
9.1. 维护一个寄存器
欧洲 IT 认证协会维护着一个登记册,记录了所有收到的数据主体权利请求。 该寄存器应记录以下详细信息:
- 申请日期
- 数据主体的姓名和联系方式
- 请求说明
- 响应请求采取的行动
- 处理请求所需的任何其他信息
9.2. 文档标准化流程
欧洲 IT 认证协会运行标准化流程来记录数据主体权利请求,以确保所捕获信息的一致性和准确性。
9.3. 保留期限
欧洲 IT 认证协会将这些记录保存一段合理的时间,由适用的法律和法规确定,不少于 2 年。
9.4. 保密
欧洲 IT 认证协会确保只有在履行职责时需要访问此类信息的授权人员才能访问数据主体权利请求的记录。 它还实施技术和组织措施,以防止未经授权访问、披露、更改或销毁数据主体权利请求记录中包含的个人数据。
9.5。 报告
欧洲 IT 认证协会定期生成有关收到、处理和未完成的数据主体权利请求的报告。 这些报告与包括高级管理层和 DPO 在内的相关利益相关者共享。
9.6。 Analytics(分析)
欧洲 IT 认证协会对数据主体权利请求进行趋势分析,以确定请求的模式和根本原因。 此信息用于增强流程和程序,以更好地管理此类请求。
第 10 部分。监控和审查过程
欧洲 IT 认证协会定期监控和审查其处理数据主体权利请求的流程,以确保其保持有效并符合 GDPR。
10.1. 进行定期审查
欧洲 IT 认证机构对其数据主体权利请求处理流程和 GDPR 合规政策进行定期审查,以确保其有效并符合数据保护法规。 这些审查包括对收到的请求的数量和类型、响应的及时性和有效性以及任何需要改进的领域的分析。
10.2. 实施改进
根据审查结果,欧洲 IT 认证协会对其数据主体权利请求处理流程实施了任何必要的改进。 这可能包括更新程序、对员工进行额外培训或更改验证和响应请求的方式。
10.3. 确保持续合规
欧洲 IT 认证协会通过根据相关法律法规的任何变更定期审查和更新其政策和程序,确保持续遵守数据保护法规。
10.4. 监控员工绩效
欧洲 IT 认证协会监控员工在处理数据主体权利请求方面的表现,包括响应的质量和及时性。 这可能包括定期培训和绩效评估,以确保员工在该领域具备知识和能力。
10.5。 与数据主体沟通
欧洲 IT 认证协会在整个请求处理过程中与数据主体进行沟通,以确保他们随时了解进度和任何相关信息。 这可能包括提供有关他们请求状态的更新或根据需要请求其他信息。
10.6. 维护记录
欧洲 IT 认证协会保留其审查记录,包括对其数据主体权利请求处理流程所做的任何更改,以及从数据主体收到的任何反馈。 此信息可用于支持正在进行的合规工作并确定需要进一步改进的领域。
第 11 部分。建立加工活动记录
欧洲 IT 认证协会维护处理活动记录,该文件概述了组织对个人数据的处理。 它是欧盟通用数据保护条例 (GDPR) 的要求,旨在帮助理解数据处理活动并证明符合 GDPR。
11.1. 罗霸结构
ROPA 包括以下基本信息:组织的名称和联系方式、数据处理的目的、处理的个人数据的类别、个人数据的接收者以及个人数据的保留期限。 它还包括有关代表组织处理个人数据的任何第三方处理者的信息。
11.2. 罗霸定期更新
ROPA 定期更新,是反映欧洲 IT 认证协会支持与数据主体建立信任的数据处理活动变化的动态文件。
欧洲 IT 认证协会致力于在其数据主体权利请求管理和通用数据保护法规政策方面保持最高标准,确保遵守与这些问题相关的所有适用法律法规以及领先的行业标准和最佳实践,包括 ISO 27701 隐私信息管理系统。